JP3957712B2 - Communication monitoring system - Google Patents
Communication monitoring system Download PDFInfo
- Publication number
- JP3957712B2 JP3957712B2 JP2004337676A JP2004337676A JP3957712B2 JP 3957712 B2 JP3957712 B2 JP 3957712B2 JP 2004337676 A JP2004337676 A JP 2004337676A JP 2004337676 A JP2004337676 A JP 2004337676A JP 3957712 B2 JP3957712 B2 JP 3957712B2
- Authority
- JP
- Japan
- Prior art keywords
- unit
- feature information
- feature
- monitoring system
- communication monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Description
この発明は、ネットワーク上での不正や異常を検出する通信監視システムに関する。 The present invention relates to a communication monitoring system for detecting fraud and abnormality on a network.
近年、インターネット等の通信ネットワークでは、ハッカー等による不正行為(攻撃や侵入等)の問題が顕著になっている。かかる問題への対処技術の一つとして、ネットワーク侵入検知システム(NIDS;Network Intrusion Detection System) が知られている。ネットワーク侵入検知システムとは、予め定めた判定ルールとネットワーク状態とを比較することによって、不正行為を検知するシステムである。 In recent years, problems of fraud (attack, intrusion, etc.) by hackers have become prominent in communication networks such as the Internet. A network intrusion detection system (NIDS) is known as one technique for dealing with such a problem. The network intrusion detection system is a system that detects fraud by comparing a predetermined determination rule with a network state.
ネットワーク侵入検知システムの侵入検出アルゴリズムは、不正検出法と異常検出法とに大別される。不正検出法とは、不正行為が行われる際にネットワーク状態に表れる特徴を予め分析・ルール化しておき、ネットワーク状態がこのルールと一致したときに不正行為が行われていると判断する検出技術である。一方、異常検出法とは、正常時(不正行為等が発生していないとき)にネットワーク状態に表れる特徴を予め分析・ルール化しておき、ネットワーク状態がこのルールと一致しなくなったときに不正行為が行われていると判断する検出技術である。 The intrusion detection algorithm of the network intrusion detection system is roughly classified into a fraud detection method and an anomaly detection method. The fraud detection method is a detection technology that analyzes and rules in advance the features that appear in the network status when fraud is performed, and determines that fraud is being performed when the network status matches this rule. is there. On the other hand, the anomaly detection method is to analyze and rule the features that appear in the network state in normal time (when no fraud etc. occur), and to cheat when the network state no longer matches this rule. This is a detection technique that determines that the
これらの検出方法を比較すると、未知の不正行為等にも対処し得るという点では、異常検出法の方が優れている。しかしながら、異常検出法には、アルゴリズムが複雑であり、誤報率が高いという欠点がある。 Comparing these detection methods, the abnormality detection method is superior in that it can cope with unknown fraud. However, the abnormality detection method has a drawback that the algorithm is complicated and the false alarm rate is high.
これに対して、SVM(Support Vector Machines) と称される学習装置を用いて異常検出ルールを作成する技術が、下記非特許文献1によって提案されている。この技術によれば、ヘッダ情報から得られる情報を統計的に学習して異常検出ルールを作成することにより、アルゴリズムの複雑化を伴わずに誤報率を下げることが可能になる。
しかしながら、非特許文献1の技術には、以下のような欠点がある。
(1)非特許文献1の技術では、ネットワークの正常/異常を検出することはできるものの、システム管理者が異常の原因を判別することはできないという欠点がある。このため、非特許文献1の技術を採用したシステムでは、異常の原因を解明するためには人手で解析する必要があり、このため、多大なコストや時間等を要することになる。
(2)非特許文献1の技術では、ネットワークに異常が発生したことを検出できても、かかる異常がネットワーク全体の異常であるのか或いは局地的な異常であるのかを判断することはできない。このため、異常の発生が検出されたときに、正常状態を回復するための迅速な対策を取ることが困難である。
(3)非特許文献1の技術では、ネットワーク装置(例えばプローブ装置)毎にトラフィックデータを集積し続けるため、各ネットワーク装置は膨大なディスク資源を必要となる。さらには、ディスク資源へのデータ書き込み等に計算機資源を奪われることになるので、通信パケットの取りこぼし等の不都合が発生するおそれもある。
(4)非特許文献1の技術では、学習機能を用いるので、ネットワーク装置を設置する場所でのトラフィックの傾向を予め学習させる必要があり、したがって運用開始までの作業負担が大きい。
(5)非特許文献1の技術ではネットワーク装置毎に学習データを保存するが、この学習データは一般に秘密情報として扱われるため、ネットワーク装置毎に漏洩対策を施す必要があり、コスト増の原因になる。
(6)非特許文献1の技術では、学習機能を用いるので、小規模システム等で学習データが少ない場合には、誤報率を低く抑えることが困難になる。
However, the technique of Non-Patent Document 1 has the following drawbacks.
(1) Although the technique of Non-Patent Document 1 can detect the normality / abnormality of the network, it has a drawback that the system administrator cannot determine the cause of the abnormality. For this reason, in a system that employs the technique of Non-Patent Document 1, it is necessary to perform manual analysis in order to elucidate the cause of the abnormality, which requires a great deal of cost and time.
(2) With the technique of Non-Patent Document 1, even if it is possible to detect that an abnormality has occurred in the network, it is not possible to determine whether such an abnormality is an abnormality of the entire network or a local abnormality. For this reason, it is difficult to take a quick measure for recovering the normal state when the occurrence of abnormality is detected.
(3) In the technique of Non-Patent Document 1, since traffic data is continuously accumulated for each network device (for example, a probe device), each network device requires an enormous amount of disk resources. Furthermore, since computer resources are deprived of data writing to disk resources, there is a possibility that inconveniences such as dropping of communication packets may occur.
(4) In the technique of Non-Patent Document 1, since the learning function is used, it is necessary to learn the traffic tendency at the place where the network device is installed in advance, and therefore the work load until the start of operation is large.
(5) In the technique of Non-Patent Document 1, learning data is stored for each network device. However, since this learning data is generally handled as confidential information, it is necessary to take measures against leakage for each network device, which causes an increase in cost. Become.
(6) Since the learning function is used in the technique of Non-Patent Document 1, it is difficult to keep the false alarm rate low when learning data is small in a small-scale system or the like.
この発明の課題は、信頼性が高く且つ低コストで実現できる通信監視システムを提供する点にある。 An object of the present invention is to provide a communication monitoring system that is highly reliable and can be realized at low cost.
この発明に係る通信監視システムは、予め定められた測定周期でネットワーク装置を通過する通信パケットのトラフィックを測定するトラフィック測定部と、通信パケットから読み出された一種類または複数種類のヘッダ情報を測定周期毎に統計処理する統計計算部と、トラフィック測定部の測定結果および統計計算部の計算結果を含む複数の特徴項目を有する特徴情報を測定周期毎に作成・保持する特徴情報保持部と、特徴情報保持部が新しい特徴情報を作成するたびに特徴情報保持部から古い特徴情報を読み出して蓄積するデータベース部と、特徴情報保持部が新しい特徴情報を作成するたびに、所定の1または複数の特徴項目が新しい特徴情報と同一性の範囲内にある特徴情報をデータベース部から読み出し、読み出された特徴情報の他の特徴項目についての正常範囲を統計的に算出し、新しい特徴情報の他の特徴項目と正常範囲とを比較することによって異常の発生を判断する異常検出部とを備える。 A communication monitoring system according to the present invention measures a traffic measurement unit that measures traffic of a communication packet passing through a network device at a predetermined measurement cycle, and measures one or more types of header information read from the communication packet. A statistical calculation unit that performs statistical processing for each period, a feature information holding unit that creates and holds characteristic information having a plurality of characteristic items including a measurement result of the traffic measurement unit and a calculation result of the statistical calculation unit for each measurement period, and a feature A database unit that reads and stores old feature information from the feature information holding unit every time the information holding unit creates new feature information, and a predetermined one or more features each time the feature information holding unit creates new feature information The feature information whose items are within the same range as the new feature information is read from the database unit, and the read feature information Statistically calculating the normal range for characteristic item, and an abnormality detection unit for determining the occurrence of abnormality by comparing the other characteristic item and a normal range of new feature information.
本発明によれば、複数の特徴項目を含む特徴情報をデータベース部に順次蓄積し、これらの各特徴項目の相関性から異常検出部で正常/異常を判断するので、信頼性の高い通信監視システムを低コストで提供することができる。 According to the present invention, feature information including a plurality of feature items is sequentially accumulated in the database unit, and normality / abnormality is determined by the abnormality detection unit from the correlation between these feature items. Therefore, a highly reliable communication monitoring system Can be provided at low cost.
以下、この発明の実施の形態について、図面を用いて説明する。なお、図中、各構成成分の大きさ、形状および配置関係は、この発明が理解できる程度に概略的に示してあるにすぎず、また、以下に説明する数値的条件は単なる例示にすぎない。 Embodiments of the present invention will be described below with reference to the drawings. In the drawings, the size, shape, and arrangement relationship of each component are shown only schematically to the extent that the present invention can be understood, and the numerical conditions described below are merely examples. .
第1の実施形態
以下、この発明に係る通信監視システムの一実施形態について、この発明をプローブ装置に適用した場合を例に採り、図1および図2を用いて説明する。プローブ装置とは、通信トラフィックを監視する装置であり、ネットワークどうしを接続するインタフェース部分に設置される。
First Embodiment Hereinafter, an embodiment of a communication monitoring system according to the present invention will be described with reference to FIGS. 1 and 2, taking the case where the present invention is applied to a probe device as an example. The probe device is a device that monitors communication traffic, and is installed at an interface portion that connects networks.
図1は、この実施形態に係るプローブ装置の要部構成を概略的に示すブロック図である。 FIG. 1 is a block diagram schematically showing a main configuration of the probe apparatus according to this embodiment.
図1に示したように、この実施形態のプローブ装置100は、ネットワークインタフェース部110と、トラフィック測定部120と、パケット解析部130と、解析区切指定部140と、統計計算部150と、特徴情報保持部160と、データベース部170と、異常検出部180とを備える。
As shown in FIG. 1, the
ネットワークインタフェース部110は、2つのネットワーク191,192どうしを接続する伝送路193上に配置され、この伝送路193上を伝送されるIPパケットを中継する。すなわち、これらのネットワーク191,192間を伝送されるIPパケットは、すべてネットワークインタフェース部110を通過する。
The
トラフィック測定部120は、解析区切指定部140が指定した測定周期毎に、ネットワークインタフェース部110を通過するIPパケット数やスループットを測定する。また、トラフィック測定部120は、解析区切指定部140から受信した測定周期情報に基づいて各測定周期の開始・終了日時を記録し、特徴情報保持部160に送る。
The
パケット解析部130は、ネットワークインタフェース部110を通過したIPパケットを解析して当該IPパケットの種類やポート番号等(後述)を判別し、統計計算部150に送る。
The
解析区切指定部140は、トラフィック測定部120およびパケット解析部130の測定周期を制御する。測定周期としては、例えば、時間的な周期や総パケット数の周期等を採用することができる。
The analysis
統計計算部150は、パケット解析部130から解析結果を受け取り、測定周期毎に統計処理を行う。
The
特徴情報保持部160は、トラフィック測定部120から測定結果や日時情報を受け取り、統計計算部150から処理結果を受け取る。そして、特徴情報保持部160は、これらの情報(以下、「特徴項目」と記す)を有する特徴情報を、測定周期毎に作成し、保持する(後述の図2参照)。また、特徴情報保持部160は、新しい特徴情報を作成するたびに、その直前に作成された古い特徴情報をデータベース部170に送るとともに、異常検出部180に更新通知信号を送る。
The feature
データベース部170は、特徴情報保持部160から受け取った特徴情報を、すべて蓄積する。
The
異常検出部180は、特徴情報保持部160の特徴情報が更新されるたびに、当該特徴情報とデータベース部170に蓄積された過去の特徴情報とを用いて、正常/異常の判断を行う(後述)。
Each time the feature information stored in the feature
図2は、特徴情報保持部160が作成した特徴情報の一例を示す表である。
FIG. 2 is a table showing an example of feature information created by the feature
図2に示したように、この実施形態の特徴情報は、特徴項目として、「日時」、「総パケット数」、「スループット」、「TCPパケット数」、「UDPパケット数」、「ICMPパケット数」、「TCPウインドウズサイズ」、「TCPポート番号」、「送信元TCPポート番号」、「宛先TCPポート番号」、「UDPポート番号」、「発信元UDPポート番号」、「宛先UDPポート番号」、「TCPフラグ」、「TCPフラグセット」、「ICMPタイプコード」、「IP−TOS」、「IP−TTL」、「IPプロトコル」を含む。 As shown in FIG. 2, the feature information of this embodiment includes “date and time”, “total number of packets”, “throughput”, “number of TCP packets”, “number of UDP packets”, “number of ICMP packets” as feature items. ”,“ TCP Windows size ”,“ TCP port number ”,“ source TCP port number ”,“ destination TCP port number ”,“ UDP port number ”,“ source UDP port number ”,“ destination UDP port number ”, It includes “TCP flag”, “TCP flag set”, “ICMP type code”, “IP-TOS”, “IP-TTL”, and “IP protocol”.
「日時」とは、当該特徴情報に係る測定周期の開始・終了日時である。図2の例では、2004年9月10日の0時0分から0時5分までの5分間にネットワークインタフェース部110を通過したIPパケットに関する特徴情報であることを示している。この特徴項目は、トラフィック測定部120から取得される。
“Date / time” is the start / end date / time of the measurement cycle related to the feature information. The example of FIG. 2 indicates that the feature information is related to the IP packet that has passed through the
「総パケット数」は、当該測定周期内にネットワークインタフェース部110を通過したIPパケットの総数である。この特徴項目は、パケット解析部130によって測定される。
The “total number of packets” is the total number of IP packets that have passed through the
「スループット」は、当該プローブ装置100の実効的な通信速度であり、アプリケーション層で単位時間内に処理できる情報量を規定する。この特徴項目は、トラフィック測定部120によって測定される。
“Throughput” is an effective communication speed of the
「TCPパケット数」は、当該測定周期内にネットワークインタフェース部110を通過したIPパケットのうち、TCPパケット(トランスポート層のプロトコルとしてTCP(Transmission Control Protocol) を使用するパケット)の総数である。TCPパケット数は、パケット解析部130によって、測定周期毎にカウントされる。
The “number of TCP packets” is the total number of TCP packets (packets using TCP (Transmission Control Protocol) as a transport layer protocol) among IP packets that have passed through the
「UDPパケット数」は、当該測定周期内にネットワークインタフェース部110を通過したIPパケットのうち、UDPパケット(トランスポート層のプロトコルとしてUDP(User Datagram Protocol)を使用するパケット)の総数である。この特徴項目も、パケット解析部130で、測定周期毎にカウントされる。
The “number of UDP packets” is the total number of UDP packets (packets that use User Datagram Protocol (UDP) as a transport layer protocol) among IP packets that have passed through the
「ICMPパケット数」は、当該測定周期内にネットワークインタフェース部110を通過したIPパケットのうち、ICMPパケット(ICMP(Internet Control Message Protocol) を使用するパケット)の総数である。この特徴項目も、パケット解析部130で、測定周期毎にカウントされる。
“Number of ICMP packets” is the total number of ICMP packets (packets using Internet Control Message Protocol (ICMP)) among IP packets that have passed through the
「TCPウィンドウサイズ」は、TCPヘッダ内に格納された情報の一つであり、通信端末装置が一度に受信できるデータ量を示す値である。TCPウィンドウサイズは、パケット解析部130により、すべての通過TCPパケットから読み出される。そして、統計計算部150が、各ウィンドウサイズ値のTCPパケット数をカウントし、カウント数が多いウィンドウサイズ値の上位3個をリストアップする。
“TCP window size” is one piece of information stored in the TCP header, and is a value indicating the amount of data that can be received at one time by the communication terminal apparatus. The TCP window size is read from all the passing TCP packets by the
「TCPポート番号」は、TCPヘッダ内に格納された情報の一つであり、TCPで使用されるポート番号(アプリケーションを特定するためにIPアドレスの下位に設けられる補助アドレス)である。TCPヘッダには、送信元ポート番号と宛先ポート番号とが格納されるが、この実施形態では、これらを総称してTCPポート番号と記す。TCPポート番号は、パケット解析部130により、すべての通過TCPパケットから読み出される。そして、統計計算部150が、各TCPポート番号のTCPパケット数をカウントし、カウント数が多いTCPポート番号の上位5個をリストアップする。
The “TCP port number” is one piece of information stored in the TCP header, and is a port number used in TCP (an auxiliary address provided below the IP address in order to identify an application). The TCP header stores a source port number and a destination port number. In this embodiment, these are collectively referred to as a TCP port number. The TCP port number is read from all passing TCP packets by the
「送信元TCPポート番号」は、上述のTCPポート番号のうち、当該TCPパケットを送信したプローブ装置のアプリケーションを特定するためのポート番号である。送信元TCPポート番号は、パケット解析部130により、すべての通過TCPパケットから読み出される。そして、統計計算部150が、当該ポート番号毎のTCPパケット数をカウントアップする。
The “transmission source TCP port number” is a port number for identifying the application of the probe device that has transmitted the TCP packet among the above-described TCP port numbers. The source TCP port number is read from all the passing TCP packets by the
「宛先TCPポート番号」は、上述のTCPポート番号のうち、当該TCPパケットを受信する通信端末装置のアプリケーションを特定するためのポート番号である。宛先TCPポート番号は、パケット解析部130により、すべての通過TCPパケットから読み出される。そして、統計計算部150が、当該ポート番号毎のTCPパケット数をカウントアップする。
The “destination TCP port number” is a port number for specifying an application of the communication terminal device that receives the TCP packet among the above TCP port numbers. The destination TCP port number is read from all passing TCP packets by the
「UDPポート番号」は、UDPヘッダ内に格納された情報の一つであり、UDPで使用されるポート番号である。この実施形態では、送信元ポート番号と宛先ポート番号とを総称してUDPポート番号と記す。UDPポート番号は、パケット解析部130により、すべての通過UDPパケットから読み出される。そして、統計計算部150が、UDPポート番号毎のUDPパケット数をカウントし、カウント数が多いUDPポート番号の上位5個をリストアップする。
The “UDP port number” is one of information stored in the UDP header and is a port number used in UDP. In this embodiment, the transmission source port number and the destination port number are collectively referred to as a UDP port number. The UDP port number is read from all the passing UDP packets by the
「送信元UDPポート番号」は、上述のUDPポート番号のうち、当該UDPパケットを送信したプローブ装置のアプリケーションを特定するためのポート番号である。送信元UDPポート番号は、パケット解析部130により、すべての通過UDPパケットから読み出される。そして、統計計算部150が、当該ポート番号毎のUDPパケット数をカウントアップする。
The “transmission source UDP port number” is a port number for specifying the application of the probe device that has transmitted the UDP packet among the above-mentioned UDP port numbers. The source UDP port number is read from all the passing UDP packets by the
「宛先UDPポート番号」は、上述のUDPポート番号のうち、当該UDPパケットを受信する通信端末装置のアプリケーションを特定するためのポート番号である。宛先UDPポート番号は、パケット解析部130により、すべての通過UDPパケットから読み出される。そして、統計計算部150が、当該ポート番号毎のUDPパケット数をカウントアップする。
The “destination UDP port number” is a port number for specifying an application of the communication terminal device that receives the UDP packet among the above-described UDP port numbers. The destination UDP port number is read from all passing UDP packets by the
「TCPフラグ」は、TCPヘッダのフラグ領域(1バイト)に格納されたフラグのビット値である。このフラグ領域には、2ビットの予約フラグと、URGフラグと、ACKフラグと、PUSHフラグと、RSTフラグと、SYNフラグと、FINフラグとが格納されている(図2の特徴項目NのU,A,P,R,S,Fに対応)。パケット解析部130は、これらのフラグのうち予約フラグを除く6個について、フラグがセットされている(‘1’になっている)TCPパケット数をカウントする。
The “TCP flag” is a bit value of a flag stored in the flag area (1 byte) of the TCP header. In this flag area, a 2-bit reservation flag, a URG flag, an ACK flag, a PUSH flag, an RST flag, a SYN flag, and a FIN flag are stored (U of the feature item N in FIG. 2). , A, P, R, S, F). The
「TCPフラグセット」は、上述の6個のTCPフラグのうち、セットされているフラグの組み合わせを示す情報である。パケット解析部130は、すべての通過TCPパケットのヘッダから各TCPフラグの値を読み出し、セットされているフラグの組み合わせ毎にTCPパケット数をカウントする。例えば、ACKフラグおよびSYNフラグの値は‘1’であるが他のフラグの値は‘0’のTCPパケットが1個解析されたとき、‘ACK+SYN’のTCPパケット数が1個増加することになる。統計計算部150は、読み出し回数が多いフラグ値組み合わせの上位3個をリストアップする。
The “TCP flag set” is information indicating a combination of set flags among the six TCP flags described above. The
「ICMPタイプコード」は、ICMPパケットのヘッダ内に格納された情報の一つであり、ネットワーク制御のためのメッセージを示すタイプ(大分類)およびコード(小分類)である。例えばタイプ・コードが8・0の場合、エコー要求メッセージを示している。パケット解析部130は、すべての通過ICMPパケットのヘッダからタイプおよびコードを読み出し、タイプコード毎のICMPパケット数をカウントする。そして、統計計算部150が、カウント数が多いタイプ・コードの上位3個をリストアップする。
The “ICMP type code” is one of information stored in the header of the ICMP packet, and is a type (major classification) and a code (minor classification) indicating a message for network control. For example, when the type code is 8.0, an echo request message is indicated. The
「IP−TOS」は、IPヘッダのTOS(Type Of Service) 領域に格納された8ビット情報であり、そのIPパケットのルーティング優先度等を示している。パケット解析部130は、すべての通過IPパケットからIP−TOSを読み出して、IP−TOS値毎のIPパケット数をカウントする。そして、統計計算部150が、カウント数が多いIP−TOS値の上位3個をリストアップする。
“IP-TOS” is 8-bit information stored in a TOS (Type Of Service) area of the IP header, and indicates the routing priority of the IP packet. The
「IP−TTL」は、IPヘッダのTTL(Time To Live)領域に格納された8ビット情報であり、そのIPパケットの寿命を示している。パケット解析部130は、すべての通過IPパケットからIP−TTLを読み出して、IP−TTL値毎のIPパケット数をカウントする。そして、統計計算部150が、カウント数が多いIP−TTL値の上位3個をリストアップする。
“IP-TTL” is 8-bit information stored in a TTL (Time To Live) area of the IP header, and indicates the lifetime of the IP packet. The
「IPプロトコル」は、IP(ネットワーク層)よりも上位の層に属するプロトコルを示す情報であり、上述のTCP、UDP、ICMP等がある。パケット解析部130は、すべての通過IPパケットのIPプロトコルを判定して、各IPプロトコルの検出回数をカウントする。そして、統計計算部150が、カウント数が多いIPプロトコルの上位3個をリストアップする。
“IP protocol” is information indicating a protocol belonging to a layer higher than IP (network layer), and includes the above-described TCP, UDP, ICMP, and the like. The
なお、図2の特徴項目は一例にすぎず、これらの特徴項目の一部のみを採用してもよいし、他の特徴項目を使用してもよい。例えば、TCPパケット数、UDPパケット数、ICMPパケット数に代えて、TCPパケット数/総パケット数、UDPパケット数/総パケット数、ICMPパケット数/総パケット数を使用してもよい。 Note that the feature items in FIG. 2 are merely examples, and only some of these feature items may be employed, or other feature items may be used. For example, instead of the number of TCP packets, the number of UDP packets, and the number of ICMP packets, the number of TCP packets / total number of packets, the number of UDP packets / total number of packets, and the number of ICMP packets / total number of packets may be used.
また、IPパケットがフラグメントパケットである場合に、当該フラグメントパケットの先頭のIPパケットのみをカウントすることにしてもよい。 In addition, when the IP packet is a fragment packet, only the top IP packet of the fragment packet may be counted.
次に、この実施形態のプローブ装置100の全体動作を説明する。
Next, the overall operation of the
ネットワークインタフェース部110は、ネットワーク(図示せず)のトラフィックを解析するために、IPパケットのヘッダ情報を随時取得する。取得されたIPパケット・ヘッダは、パケット解析部130に送られる。
The
トラフィック測定部120は、ネットワークインタフェース部110を常に監視することにより、スループットを測定する(図2の特徴項目C参照)。また、トラフィック測定部120は、上述のように、各測定周期の開始・終了日時を記録・保持する(図2の特徴項目A参照)。これらの特徴項目A,Cは、測定周期毎に作成されて、特徴情報保持部160に送られる。
The
パケット解析部130は、ネットワークインタフェース部110から受け取ったIPパケット・ヘッダを解析することにより、パケットやポートの種類の判断、カウント等を行う。この解析処理の結果は、統計計算部150に送られる。
The
統計計算部150は、パケット解析部130から受け取った解析結果に基づいて、上述のリストアップ等を行い、特徴項目B,D〜S(図2参照)を作成する。これらの特徴項目B,D〜Sは、特徴情報保持部160に送られる。
The
特徴情報保持部160は、同じ測定周期に対応する特徴項目A〜Sを一覧表化することにより、特徴情報を作成する。作成された特徴情報は、次の測定周期に対応する特徴情報が作成されるまで、特徴情報保持部160内に保持される。新しい特徴情報(すなわち、次の測定周期に対応する特徴情報)が作成されたとき、特徴情報保持部160は、内部に保持されていた古い特徴情報を、データベース部170に送ったあとで、内部に保持されている特徴情報を、当該新しい特徴情報に更新する。そして、特徴情報保持部160は、特著情報が更新されたことを示す信号を、異常検出部180に送る。
The feature
データベース部170は、特徴情報保持部160から受け取った特徴情報を、すべて蓄積する。
The
異常検出部180は、特徴情報が更新されるたびに、特徴情報保持部160から新しい特徴情報を読み出す。そして、異常検出部180は、当該特徴情報の所定の1種類または複数種類の特徴項目について、同一性の範囲を判断する。例えば、スループットの同一性の範囲を求める場合、このスループット値の±10パーセント以内を、同一性の範囲とすることができる。また、TCPウィンドウサイズの同一性を求める場合に、上位3個のリストのサイズ値および順位が完全に一致する場合のみを同一性の範囲としてもよく、さらには、上位3個のリストの各サイズ値のみが一致していればこれら3個の順位が異なっていても同一性の範囲であるとしてもよい。
The
続いて、異常検出部180は、当該特徴項目が同一性の範囲内にある特徴情報を、データベース部170から、すべて読み出す。そして、異常検出部180は、読み出された特徴情報から、「同一性の範囲」の判断対象となった特徴項目を除く各特徴項目について、正常範囲を統計的に算出する。例えば、読み出された特徴情報にそれぞれ含まれるTCPパケット数の標準偏差を算出し、かかる標準偏差の3倍以内を正常範囲とすることができる。また、例えば、TCPウィンドウサイズについて、上位3個のリストのうち2個以上が一致する場合を正常範囲とすることができる。正確な異常検出を行うためには、正常範囲の判断方法を、プローブ装置のトラフィック環境等に応じて、特徴項目毎に定めることが望ましい。
Subsequently, the
異常検出部180は、特徴情報保持部160から読み出された特徴情報の各特徴項目(同一性の範囲の判断対象となった特徴項目を除く)を、対応する正常範囲と比較する。そして、この比較結果に応じて、ネットワークの正常/異常を判断する。例えば、TCPポート135およびICMPのカウント値が非常に大きい場合には(図2の特徴項目H,S参照)、‘MS Blaster’と称される不正攻撃を受けている可能性が高い。この判断では、正常範囲内にない特徴項目が一つでもあれば異常と判断することとしてもよいし、正常範囲内にない特徴項目が所定数個以上である場合にのみ異常と判断することとしてもよい。さらには、特定の特徴項目については正常範囲内にないものが一つでもあれば異常と判断するが、他の特徴項目については正常範囲内にないものが所定数個以上である場合にのみ異常と判断することとしてもよい。
The
異常検出部180は、正常と判断された場合には、そのまま検出動作を終了して、特徴情報保持部160の次の特徴情報更新まで待機する。一方、異常と判断された場合には、異常検出部180は、ユーザ或いはオペレータに対して、異常の発生と正常範囲内にない特徴項目とを告知する。
If it is determined that the abnormality is normal, the
以上説明したように、この実施形態に係る通信監視システムによれば、新しく取得した特徴情報の各特徴項目を過去の各特徴項目と統計的に比較して正常/異常を判断するので、簡単な構成で、信頼性の高い通信監視を行うことができる。 As described above, according to the communication monitoring system according to this embodiment, each feature item of newly acquired feature information is statistically compared with each past feature item to determine normality / abnormality. With the configuration, highly reliable communication monitoring can be performed.
また、この実施形態に係る通信監視システムによれば、正常範囲内にない特徴項目を簡単に特定することができるので、異常の原因を容易に解明することができる。 Further, according to the communication monitoring system according to this embodiment, it is possible to easily identify a feature item that is not within the normal range, so that the cause of the abnormality can be easily clarified.
加えて、この実施形態に係る通信監視システムによれば、学習機能を使用する必要がないので、誤検出であった場合にも、誤検出である旨や当該誤検出の原因を容易に特定することができ、このため、正常範囲の判断方法の改善等の対策が容易である。 In addition, according to the communication monitoring system according to this embodiment, since it is not necessary to use a learning function, even if it is a false detection, the fact that it is a false detection and the cause of the false detection are easily identified. Therefore, it is easy to take measures such as improvement of the normal range judgment method.
第2の実施形態
次に、この発明に係る通信監視システムの第2の実施形態について、図3〜図5を用いて説明する。
Second Embodiment Next, a second embodiment of the communication monitoring system according to the present invention will be described with reference to FIGS.
この実施形態は、複数台のプローブ装置が特徴情報を共用できるように通信監視システムを構築した例である。 This embodiment is an example in which a communication monitoring system is constructed so that a plurality of probe devices can share feature information.
図3は、この実施形態に係る通信監視システムの全体構成を概略的に示す概念図である。 FIG. 3 is a conceptual diagram schematically showing the overall configuration of the communication monitoring system according to this embodiment.
図3に示したように、この実施形態に係る通信監視システム300は、ネットワーク311〜314のインタフェース部分の伝送路193上に設置された複数台(図3の例では3台)のプローブ装置321,322,323を備えている。
As shown in FIG. 3, the
図4は、プローブ装置321の要部構成を概略的に示すブロック図である。図4において、図1と同じ符号を付した構成要素は、それぞれ図1の場合と同じものである。なお、プローブ装置322,323の内部構成も、それぞれプローブ装置321と同様である。また、図5は、特徴情報保持部421(後述)が作成した特徴情報の一例を示す概念図である。
FIG. 4 is a block diagram schematically showing a main configuration of the
図4において、特徴情報保持部401は、第1の実施形態と同様にして特徴情報を作成するとともに、この特徴情報に、図5に示したようなプローブIDを付加する。プローブIDとは、プローブ装置321で取得された特徴情報を他のプローブ装置322,323で取得されたものと区別するためのID(Identity Data) である。特徴情報保持部401は、図5のような特徴情報を測定周期毎に作成して保持する。そして、特徴情報保持部401は、新しい特徴情報を作成するたびに、その直前に作成された古い特徴情報をデータベース部170に送るとともに、異常検出部403に更新通知信号を送る。
In FIG. 4, the feature
分散データベース制御部402には、プローブ装置321と特徴情報を共用する他のプローブ装置(この実施形態では、プローブ装置322,323)が登録されている。分散データベース制御部402は、データベース部170に蓄積されていない特徴情報を、他のプローブ装置322,323に要求する。加えて、分散データベース制御部402は、プローブ装置322,323から送信された当該特徴情報を、データベース部170に蓄積する。例えば、特徴情報保持部401に保持された特徴情報からスループットの同一性の範囲を求めたが、該当する特徴情報がデータベース部170に存在しないような場合(或いは所定数に達していないような場合)等に、分散データベース制御部402が他のプローブ装置322,323から特徴情報を取得する。さらに、分散データベース制御部402は、他のプローブ装置322,323からの要求にしたがい、データベース部170に格納された特徴情報を、これらプローブ装置322,323に送る。
In the distributed
異常検出部403は、特徴情報保持部401の特徴情報が更新されるたびに、当該特徴情報とデータベース部170に蓄積された過去の特徴情報とを用いて、正常/異常の判断を行う。このとき、異常検出部403は、上述のプローブIDによって各特徴情報を作成したプローブ装置を判断し、自己のプローブ装置321で作成された特徴情報の重みを他のプローブ装置322,323で作成された特徴情報の重みよりも大きくして、「正常範囲」の統計的計算を行うこととしてもよい。そして、異常検出部403は、第1の実施形態と同様にして、ネットワークの正常/異常を判断する。
Each time the feature information in the feature
また、異常検出部403は、異常が検出された場合に、他のプローブ装置322,323から、正常/異常の判断結果を取得する。そして、異常検出部403は、この取得情報に基づいて、かかる異常が、プローブ装置321周辺のみで発生した局地的な異常であるのか、それともネットワークの広域わたって発生した異常であるのかを、判断する。この判断結果は、異常が発生した旨とともに、ユーザ或いはオペレータに告知される。
In addition, when an abnormality is detected, the
他の構成部分の構成および動作は、上述の第1の実施形態と同様であるので、説明を省略する。 Since the configuration and operation of the other components are the same as those in the first embodiment described above, description thereof is omitted.
この実施形態に係る通信監視システムによれば、第1の実施形態と同様、簡単な構成で信頼性の高いネットワーク侵入検知を行うことができ、異常の原因を容易に解明することができ、且つ、誤検出である旨や当該誤検出の原因を容易に特定することができる。 According to the communication monitoring system according to this embodiment, similarly to the first embodiment, it is possible to perform highly reliable network intrusion detection with a simple configuration, and to easily elucidate the cause of the abnormality, and Thus, it is possible to easily identify the fact that it is a false detection and the cause of the false detection.
加えて、この実施形態に係る通信監視システムによれば、複数のプローブ装置間で特徴情報を共用することができるので、データベース部170に蓄積された特徴情報の量が少ない場合にも、信頼性の高い異常検出が期待できる。したがって、通信監視システムの運用を開始する際の作業負担が小さく、また、小規模システム等でも高い信頼性を確保し易くなる。
In addition, according to the communication monitoring system according to this embodiment, since feature information can be shared among a plurality of probe devices, reliability can be improved even when the amount of feature information stored in the
第3の実施形態
次に、この発明に係る通信監視システムの第3の実施形態について、図6〜図8を用いて説明する。
Third Embodiment Next, a third embodiment of the communication monitoring system according to the present invention will be described with reference to FIGS.
この実施形態は、複数台のプローブ装置のデータベース部を共通化した通信監視システムの例である。 This embodiment is an example of a communication monitoring system in which a database unit of a plurality of probe devices is shared.
図6は、この実施形態に係る通信監視システムの全体構成を概略的に示す概念図である。図6において、図3と同じ符号を付した構成要素は、それぞれ図3の場合と同じものである。 FIG. 6 is a conceptual diagram schematically showing the overall configuration of the communication monitoring system according to this embodiment. In FIG. 6, components denoted by the same reference numerals as those in FIG. 3 are the same as those in FIG. 3.
図6に示したように、この実施形態に係る通信監視システム600は、プローブ装置611〜613と、通信監視サーバ装置621とを備えている。
As shown in FIG. 6, the
図7は、プローブ装置611の要部構成を概略的に示すブロック図である。図7において、図1と同じ符号を付した構成要素は、それぞれ図1の場合と同じものである。なお、プローブ装置612,613の内部構成も、それぞれ、プローブ装置611の内部構成と同様である。
FIG. 7 is a block diagram schematically showing a main configuration of the
図7に示したように、このプローブ装置611は、データベース部を備えておらず、且つ、データ送信部701と、統計情報問い合わせ部702と、異常検出部703とを備えている。
As shown in FIG. 7, the
データ送信部701は、特徴情報保持部401が新しい特徴情報を作成するたびに、その直前に作成された古い特徴情報を受け取り、通信監視サーバ装置621(図6参照)に送る。
Each time the feature
統計情報問い合わせ部702は、異常検出部703からの要求にしたがって、通信監視サーバ装置621に情報送信要求を送る。さらに、統計情報問い合わせ部702は、この要求に応じて通信監視サーバ装置621から送られてきた特徴情報を受信し、異常検出部703に提供する。
The statistical
異常検出部703は、特徴情報保持部401が特徴情報を更新するたびに、同一性の範囲」の算出と、当該「同一性の範囲」の判断対象となった特徴項目を除く各特徴項目について「正常範囲」か否かの判断を行う点で、第1の実施形態の異常検出部180と同様である。但し、「正常範囲」を求めるための統計処理を行わない点で、第1の実施形態の異常検出部180と異なる。後述するように、「正常範囲」の統計処理は、監視サーバ装置621内の統計情報解析部850が行う(図8参照)。
Each time the feature
図8は、通信監視サーバ装置621の要部構成を概略的に示すブロック図である。図8に示したように、この通信監視サーバ装置621は、ネットワークインタフェース部810と、データ受信部820と、データベース部830と、統計情報返答部840と、統計情報解析部850とを備えている。
FIG. 8 is a block diagram schematically showing a main part configuration of the communication
ネットワークインタフェース部810は、ネットワーク311との間で、IPパケットの送受信を行う。
The network interface unit 810 transmits and receives IP packets to and from the
データ受信部820は、プローブ装置611〜613から送信された特徴情報を受信して、データベース部830に書き込む。
The
データベース部830は、データ受信部820から受け取った特徴情報を、すべて蓄積する。
The
統計情報返答部840は、プローブ装置611〜613から送信された情報送信要求を受信して、統計情報解析部850に送る。さらに、統計情報返答部840は、統計情報解析部850から受け取った情報(統計処理結果)を、当該情報送信要求を発行したプローブ装置に送信する。
The statistical
統計解析部850は、統計情報返答部840から受け取った情報送信要求に対応する特徴情報をデータベース部830から読み出して、統計処理を施し(後述)、処理結果を統計情報返答部840に送る。
The
次に、この実施形態に係る通信監視システムの全体動作について、プローブ装置611の通信監視を例に採って説明する。
Next, the overall operation of the communication monitoring system according to this embodiment will be described taking communication monitoring of the
第1の実施形態と同様、プローブ装置611のトラフィック測定部120はネットワークインタフェース部110を通過するIPパケットのスループット測定や日時情報の作成を行ない、パケット解析部130は当該IPパケットのヘッダ解析等を行ない、さらに、統計計算部150はパケット解析部130の解析結果に基づいてカウント数のリストアップ等を行う。そして、第1の実施形態と同様にして、このようにして作成された特徴項目A〜Sから、特徴情報保持部401が特徴情報を作成・保持する。
As in the first embodiment, the
特徴情報が更新されるときに、特徴情報保持部401は、内部に保持されていた古い特徴情報を、データ送信部701に送るとともに、この更新を示す信号を異常検出部703に送る。
When the feature information is updated, the feature
データ送信部701は、特徴情報保持部401から受け取った特徴情報を、ネットワークインタフェース部110を介して、通信監視サーバ装置621に送る。
The
通信監視サーバ装置621のデータ受信部820は、ネットワークインタフェース部810を介して受け取った特徴情報を、データベース部830に書き込む。
The
一方、プローブ装置611の異常検出部703は、特徴情報保持部401が特徴情報を更新するたびに、この新しい特徴情報を特徴情報保持部401から読み出す。そして、異常検出部703は、第1の実施形態と同様にして、当該特徴情報の所定の特徴項目について、同一性の範囲を判断する。さらに、当該特徴項目が同一性の範囲内にある特徴情報を、統計情報問い合わせ部702に要求する。
On the other hand, the
統計情報問い合わせ部702は、該当する特徴情報に関する情報送信要求を、通信監視サーバ装置621に送る。
The statistical
通信監視サーバ装置621内の統計情報返答部840は、この情報送信要求を受信して、統計情報解析部850に送る。
The statistical
統計情報解析部850は、この情報送信要求に対応する特徴情報のすべてを、データベース部830から読み出す。そして、統計情報解析部850は、第1の実施形態の異常検出部703と同様にして、これらの特徴情報から、「同一性の範囲」の判断対象となった特徴項目を除く各特徴項目について、「正常範囲」を統計的に算出する。そして、統計情報解析部850は、かかる統計処理の結果を、統計情報返答部840に送る。このような統計解析をプローブ装置611内ではなく通信監視サーバ装置621内で行うことにより、プローブ装置611と通信監視サーバ装置621との間の通信データ量を減らすことができる。
The statistical
統計情報返答部840は、この統計処理結果を、プローブ装置611に送信する。
The statistical
プローブ装置611の統計情報問い合わせ部702は、かかる統計処理結果を受け取って、異常検出部703に送る。
The statistical
異常検出部703は、特徴情報保持部401から読み出された特徴情報の各特徴項目(同一性の範囲の判断対象となった特徴項目を除く)を、受信した統計処理結果から得た「正常範囲」と比較する。そして、この比較結果に応じて、ネットワークの正常/異常を判断する。そして、異常検出部703は、正常と判断された場合にはそのまま検出動作を終了し、異常と判断された場合には、異常検出部703はユーザ或いはオペレータに異常の発生と正常範囲内にない特徴項目とを告知する。
The
この実施形態に係る通信監視システムによれば、第1の実施形態と同様、簡単な構成で信頼性の高いネットワーク侵入検知を行うことができ、異常の原因を容易に解明することができ、且つ、誤検出である旨や当該誤検出の原因を容易に特定することができる。 According to the communication monitoring system according to this embodiment, similarly to the first embodiment, it is possible to perform highly reliable network intrusion detection with a simple configuration, and to easily elucidate the cause of the abnormality, and Thus, it is possible to easily identify the fact that it is a false detection and the cause of the false detection.
加えて、この実施形態に係る通信監視システムによれば、第2の実施形態と同様、複数のプローブ装置間で特徴情報を共用することができるので、データベース部830に蓄積された特徴情報の量が少ない場合にも、信頼性の高い異常検出が期待できる。したがって、通信監視システムの運用を開始する際の作業負担が小さく、また、小規模システム等でも高い信頼性を確保し易くなる。
In addition, according to the communication monitoring system according to this embodiment, the feature information can be shared among a plurality of probe devices as in the second embodiment, so the amount of feature information accumulated in the
また、プローブ装置毎にハードディスクを設ける必要がないので、装置の小型化、低価格化を図ることができる。 In addition, since it is not necessary to provide a hard disk for each probe device, it is possible to reduce the size and cost of the device.
第4の実施形態
次に、この発明に係る通信監視システムの第4の実施形態について、図9および図10を用いて説明する。
Fourth Embodiment Next, a fourth embodiment of the communication monitoring system according to the present invention will be described with reference to FIGS.
この実施形態は、複数台のプローブ装置のデータベース部を共通化した通信監視システムの他の例である。 This embodiment is another example of a communication monitoring system in which a database unit of a plurality of probe devices is shared.
この実施形態に係る通信監視システムの全体構成は、上述の第3の実施形態の場合(図6参照)と同様であるため、説明を省略する。 The overall configuration of the communication monitoring system according to this embodiment is the same as that in the case of the third embodiment described above (see FIG. 6), and thus the description thereof is omitted.
図9は、この実施形態に係るプローブ装置900の要部構成を概略的に示すブロック図である。図9において、図7と同じ符号を付した構成要素は、ぞれぞれ図7の場合と同じものである。図9に示したように、この実施形態のプローブ装置900は、異常検出部および情報問い合わせ部を備えていない。
FIG. 9 is a block diagram schematically showing a main configuration of the
図9において、データ送信部901は、特徴情報保持部401が新しい特徴情報を作成するたびに、その直前に作成された古い特徴情報と更新通知信号とを当該特徴情報保持部160から受け取り、通信監視サーバ装置621に送る。
In FIG. 9, every time the feature
図10は、この実施形態に係る通信監視サーバ装置1000の要部構成を概略的に示すブロック図である。図10において、図8と同じ符号を付した構成要素は、ぞれぞれ図8の場合と同じものである。図10に示したように、この通信監視サーバ装置1000は、データ受信部1001と、異常検出部1002とを備えている。
FIG. 10 is a block diagram schematically showing the main configuration of the communication
データ受信部1001は、プローブ装置から受信した特徴情報をおよび更新通知信号を異常検出部1002に送るとともに、異常検出処理の終了後に、この特徴情報をデータベース部830に書き込む。
The
異常検出部1002は、特徴情報が更新されるたびに、「同一性の範囲」の演算および「正常範囲」の演算を行い、さらに、異常検出部1002は、この「正常範囲」を用いてネットワークの正常/異常を判断する。
Each time the feature information is updated, the
次に、この実施形態に係る通信監視システムの全体動作について説明する。 Next, the overall operation of the communication monitoring system according to this embodiment will be described.
第3の実施形態と同様、プローブ装置900のトラフィック測定部120はネットワークインタフェース部110を通過するIPパケットのスループット測定や日時情報の作成を行ない、パケット解析部130は当該IPパケットのヘッダ解析等を行ない、さらに、統計計算部150はパケット解析部130の解析結果に基づいてカウント数のリストアップ等を行う。そして、第3の実施形態と同様にして、このようにして作成された特徴項目A〜Sから、特徴情報保持部401が特徴情報を作成・保持する。
As in the third embodiment, the
特徴情報が更新されるときに、特徴情報保持部401は、内部に保持されていた古い特徴情報および更新通知信号を、データ送信部901に送る。
When the feature information is updated, the feature
データ送信部901は、特徴情報保持部401から受け取った特徴情報および更新通知信号を、ネットワークインタフェース部110を介して、通信監視サーバ装置1000に送る。
The
通信監視サーバ装置1000のデータ受信部1001は、受信した特徴情報および更新通知信号を、異常検出部1002に送る。
The
異常検出部1002は、新しい特徴情報と更新通知信号とを受け取るたびに、第1の実施形態と同様にして、当該新しい特徴情報の所定の特徴項目について、同一性の範囲を判断する。さらに、当該特徴項目が同一性の範囲内にある特徴情報をすべて、データベース部830から読み出す。そして、異常検出部1002は、これらの特徴情報から、「同一性の範囲」の判断対象となった特徴項目を除く各特徴項目について、「正常範囲」を統計的に算出する。さらに、新しい特徴情報の各特徴項目(同一性の範囲の判断対象となった特徴項目を除く)を「正常範囲」と比較して、ネットワークの正常/異常を判断する。そして、異常検出部1002は、正常と判断された場合にはそのまま検出動作を終了し、異常と判断された場合には、異常検出部1002はユーザ或いはオペレータに異常の発生と正常範囲内にない特徴項目とを告知する。
Each time the
その後、この特徴情報を、データベース部830に書き込む。
Thereafter, the feature information is written in the
この実施形態に係る通信監視システムによれば、第1〜第3の実施形態と同様、簡単な構成で信頼性の高いネットワーク侵入検知を行うことができ、異常の原因を容易に解明することができ、且つ、誤検出である旨や当該誤検出の原因を容易に特定することができる。また、この実施形態に係る通信監視システムによれば、第2の実施形態と同様、複数のプローブ装置間で特徴情報を共用することができるので、データベース部830に蓄積された特徴情報の量が少ない場合にも、信頼性の高い異常検出が期待できる。したがって、通信監視システムの運用を開始する際の作業負担が小さく、また、小規模システム等でも高い信頼性を確保し易くなる。さらに、この実施形態に係る通信監視システムによれば、第3の実施形態と同様、プローブ装置毎にハードディスクを設ける必要がないので、装置の小型化、低価格化を図ることができる。
According to the communication monitoring system according to this embodiment, as in the first to third embodiments, a highly reliable network intrusion detection can be performed with a simple configuration, and the cause of the abnormality can be easily clarified. In addition, it is possible to easily identify the fact that it is a false detection and the cause of the false detection. In addition, according to the communication monitoring system according to this embodiment, the feature information can be shared among a plurality of probe devices as in the second embodiment, so that the amount of feature information stored in the
加えて、この実施形態では、特徴情報の管理や正常/異常の判断はすべて通信監視サーバ装置1000内で行い、プローブ装置900は新しい特徴情報を作成するだけである。このため、この実施形態では、機密漏洩防止の対策は、通信監視サーバ装置1000だけで行えばよく、セキュリティコストを低減することができる。
In addition, in this embodiment, all feature information management and normal / abnormal judgment are performed in the communication
さらに、この実施形態では、通信監視サーバ装置1000が複数台のプローブ装置900の正常/異常の判断を行うので、異常の発生状況(当該異常がネットワーク全体の異常であるのか或いは局地的な異常であるのか等)を、監視用のネットワークを使用せずに、即座に判断することができる。したがって、NOC(Network Operatin Center) やSOC(Security Operatin Center)に通信監視サーバ装置1000を設置することとすれば、監視用ネットワークがダウンしたような場合でも、ネットワークの正常状態を回復するための迅速な対策を取ることができる。
Furthermore, in this embodiment, since the communication
第5の実施形態
次に、この発明に係る通信監視システムの第5の実施形態について、図11を用いて説明する。
Fifth Embodiment Next, a communication monitoring system according to a fifth embodiment of the present invention will be described with reference to FIG.
この実施形態は、データベース部に格納する特徴情報を加工・整形することによって異常の検出精度を向上させた通信監視システムの例である。 This embodiment is an example of a communication monitoring system in which abnormality detection accuracy is improved by processing / shaping feature information stored in a database unit.
図11は、この実施形態に係るプローブ装置1100の要部構成を概略的に示すブロック図である。図11において、図1と同じ符号を付した構成要素は、ぞれぞれ図1の場合と同じものである。図11に示したように、この実施形態のプローブ装置1100は、データフィルタ部1101と、データ適合部1102とを備えている。
FIG. 11 is a block diagram schematically showing the main configuration of the
データフィルタ部1101は、統計計算部150から特徴項目B,D〜Sを受け取って、特異なデータを有する特徴項目(すなわち、出現率が所定のしきい値より低いデータを含む特徴項目)を加工する。例えば、TCPウインドウサイズの上位3個のリストのうち、1位および2位の値の比率の和が99パーセントを超えており、3位の値の比率が1パーセントにも満たないような場合には、当該3位の値を誤差であるとみなして「不定」に変更する。その後、データフィルタ部1101は、加工後の特徴項目を、統計計算部150に返送する。例えば、上述のように上位3個のリストのうち3位以降の値の比率が1パーセントにも満たない場合には、3位の値を特定することは無意味である場合が多い。このため、このような特異データを削除した方が、異常検出の信頼性を高めることができる。
The
データ適合部1102は、異常検出部180が出力した「同一性の範囲」条件の一部を削除し、残りの条件と一致する特徴情報をデータベース部170からすべて読み出す。そして、データ適合部1102は、データベース部170から読み出された特徴情報を、削除された「同一性の範囲」の条件を用いて、整形する。例えば、異常検出部180が出力した「同一性の範囲」の条件が、条件A:「スループットが38Mbps±10パーセント」と条件B:「TCPウインドウサイズの上位3個が33304,33298,32148」とであった場合に、データ適合部1102は、条件Aを削除し、条件Bのみを満たす特徴情報をデータベース部170から読み出す。そして、読み出された特徴情報のうち、条件Aにも適合する特徴情報は、そのまま異常検出部180に送る。また、条件Bには適合するが条件Aには適合しない特徴情報については、条件Aに適合するように各特徴項目を整形して、異常検出部180に送る。例えば、条件Bには適合するがスループットは19Mbpsの特徴情報が読み出された場合、データ適合部1102は、当該特徴情報の総パケット数、TCPパケット数、UDPパケット数およびICMPパケット数の値をそれぞれ2倍(=38Mbps/19Mbps)して、異常検出部180に送る。これにより、異常検出に使用する特徴情報の数を増やすことができるので、当該異常検出の信頼性を高めることができる。
The
他の構成部分の構成および動作は、上述の第1の実施形態と同様であるので、説明を省略する。 Since the configuration and operation of the other components are the same as those in the first embodiment described above, description thereof is omitted.
この実施形態に係る通信監視システムによれば、第1の実施形態と同様、簡単な構成で信頼性の高いネットワーク侵入検知を行うことができ、異常の原因を容易に解明することができ、且つ、誤検出である旨や当該誤検出の原因を容易に特定することができる。 According to the communication monitoring system according to this embodiment, similarly to the first embodiment, it is possible to perform highly reliable network intrusion detection with a simple configuration, and to easily elucidate the cause of the abnormality, and Thus, it is possible to easily identify the fact that it is a false detection and the cause of the false detection.
また、この実施形態に係る通信監視システムによれば、特異なデータを有する特徴項目をデータフィルタ部1101で加工するので、特徴情報の信頼性を高めることができる。
Further, according to the communication monitoring system according to this embodiment, the feature item having unique data is processed by the
加えて、この実施形態に係る通信監視システムによれば、「同一性の範囲」の一部の条件が一致しない特徴情報を、データ適合部1102で特徴項目を整形して使用するので、データベース部170に蓄積された特徴情報の量が少ない場合でも、信頼性の高い異常検出が期待できる。したがって、通信監視システムの運用を開始する際の作業負担が小さく、また、小規模システム等でも高い信頼性を確保し易くなる。
In addition, according to the communication monitoring system according to this embodiment, the feature information that does not match some conditions of the “identity range” is used by shaping the feature item in the
100,321,322,323,611,612,613 プローブ装置
110,810 ネットワークインタフェース部
120 トラフィック測定部
130 パケット解析部
140 解析区切指定部
150 統計計算部
160,401 特徴情報保持部
170,830 データベース部
180,403,703,1002 異常検出部
191,192,311,312,313,314 ネットワーク
193 伝送路
402 分散データベース制御部
621,1000 通信監視サーバ装置
701,901 データ送信部
702 統計情報問い合わせ部
820,1001 データ受信部
840 統計情報返答部
850 統計情報解析部
100, 321, 322, 323, 611, 612, 613
Claims (12)
前記通信パケットから読み出された一種類または複数種類のヘッダ情報を、前記測定周期毎に統計処理する統計計算部と、
前記トラフィック測定部の測定結果および前記統計計算部の計算結果を含む複数の特徴項目を有する特徴情報を、前記測定周期毎に作成・保持する特徴情報保持部と、
当該特徴情報保持部が新しい前記特徴情報を作成するたびに、当該特徴情報保持部から古い当該特徴情報を読み出して蓄積するデータベース部と、
当該特徴情報保持部が新しい前記特徴情報を作成するたびに、所定の1または複数の前記特徴項目が当該新しい特徴情報と同一性の範囲内にある特徴情報を前記データベース部から読み出し、読み出された特徴情報の他の前記特徴項目についての正常範囲を統計的に算出し、前記新しい特徴情報の当該他の特徴項目と当該正常範囲とを比較することによって異常の発生を判断する異常検出部と、
を備えることを特徴とする通信監視システム。 A traffic measurement unit for measuring traffic of communication packets passing through the network device at a predetermined measurement cycle;
A statistical calculator that statistically processes one or more types of header information read from the communication packet for each measurement period;
A feature information holding unit for creating and holding feature information having a plurality of feature items including a measurement result of the traffic measurement unit and a calculation result of the statistical calculation unit;
Each time the feature information holding unit creates new feature information, a database unit that reads and stores the old feature information from the feature information holding unit;
Each time the feature information holding unit creates new feature information, feature information in which one or more predetermined feature items are within the same range as the new feature information is read from the database unit and read. An abnormality detection unit that statistically calculates a normal range for the other feature item of the acquired feature information and determines the occurrence of an abnormality by comparing the other feature item of the new feature information with the normal range; ,
A communication monitoring system comprising:
前記データベース部が、前記複数のネットワーク装置と通信接続されたサーバ装置内に設けられ、
当該サーバ装置が、前記ネットワーク装置から受信した前記特徴情報を前記データベース部に蓄積し、該ネットワーク装置からの要求に応じて前記特徴項目が同一性の範囲内にある特徴情報を当該ネットワーク装置に送信する、
ことを特徴とする請求項1に記載の通信監視システム。 The traffic measurement unit, the statistical calculation unit, the feature information holding unit, and the abnormality detection unit are respectively provided in the plurality of network devices that perform intrusion detection,
The database unit is provided in a server device that is communicatively connected to the plurality of network devices,
The server device stores the feature information received from the network device in the database unit, and transmits the feature information in which the feature items are within the same range in response to a request from the network device to the network device. To
The communication monitoring system according to claim 1.
前記データベース部および前記異常検出部が、前記複数のネットワーク装置と通信接続されたサーバ装置内に設けられ、
当該サーバ装置が、前記ネットワーク装置から受信した前記特徴情報を前記データベース部に蓄積し、当該データベース部内の前記特徴情報を用いて前記異常検出部に異常の発生の有無を判断させる、
ことを特徴とする請求項1に記載の通信監視システム。 The traffic measurement unit, the statistical calculation unit, and the feature information holding unit are respectively provided in the plurality of network devices that perform intrusion detection,
The database unit and the abnormality detection unit are provided in a server device that is communicatively connected to the plurality of network devices,
The server device accumulates the feature information received from the network device in the database unit, and causes the abnormality detection unit to determine whether an abnormality has occurred using the feature information in the database unit;
The communication monitoring system according to claim 1.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004337676A JP3957712B2 (en) | 2004-11-22 | 2004-11-22 | Communication monitoring system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004337676A JP3957712B2 (en) | 2004-11-22 | 2004-11-22 | Communication monitoring system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006148686A JP2006148686A (en) | 2006-06-08 |
JP3957712B2 true JP3957712B2 (en) | 2007-08-15 |
Family
ID=36627837
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004337676A Expired - Fee Related JP3957712B2 (en) | 2004-11-22 | 2004-11-22 | Communication monitoring system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3957712B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11816249B2 (en) | 2017-04-09 | 2023-11-14 | Privacy Rating Ltd. | System and method for dynamic management of private data |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8320242B2 (en) | 2004-12-24 | 2012-11-27 | Net Optics, Inc. | Active response communications network tap |
US7760859B2 (en) | 2005-03-07 | 2010-07-20 | Net Optics, Inc. | Intelligent communications network tap port aggregator |
JP4232828B2 (en) | 2007-02-01 | 2009-03-04 | 沖電気工業株式会社 | Application classification method, network abnormality detection method, application classification program, network abnormality detection program, application classification apparatus, network abnormality detection apparatus |
JP5298293B2 (en) * | 2007-03-30 | 2013-09-25 | 国立大学法人九州大学 | Detection apparatus, detection method, communication control method, history space data production method, and program capable of causing a computer to execute these methods |
US8094576B2 (en) | 2007-08-07 | 2012-01-10 | Net Optic, Inc. | Integrated switch tap arrangement with visual display arrangement and methods thereof |
US7898984B2 (en) | 2007-08-07 | 2011-03-01 | Net Optics, Inc. | Enhanced communication network tap port aggregator arrangement and methods thereof |
US7903576B2 (en) | 2007-08-07 | 2011-03-08 | Net Optics, Inc. | Methods and arrangement for utilization rate display |
US7773529B2 (en) | 2007-12-27 | 2010-08-10 | Net Optic, Inc. | Director device and methods thereof |
JP4513878B2 (en) * | 2008-03-04 | 2010-07-28 | 沖電気工業株式会社 | Statistical processing method and apparatus, and statistical processing method program |
EP2446583A1 (en) * | 2009-06-25 | 2012-05-02 | Telefonaktiebolaget L M Ericsson (PUBL) | Estimating user-perceived tcp throughput |
US9813448B2 (en) | 2010-02-26 | 2017-11-07 | Ixia | Secured network arrangement and methods thereof |
US9306959B2 (en) | 2010-02-26 | 2016-04-05 | Ixia | Dual bypass module and methods thereof |
US8320399B2 (en) | 2010-02-26 | 2012-11-27 | Net Optics, Inc. | Add-on module and methods thereof |
US8737197B2 (en) | 2010-02-26 | 2014-05-27 | Net Optic, Inc. | Sequential heartbeat packet arrangement and methods thereof |
WO2011106589A2 (en) | 2010-02-28 | 2011-09-01 | Net Optics, Inc | Gigabits zero-delay tap and methods thereof |
US9749261B2 (en) | 2010-02-28 | 2017-08-29 | Ixia | Arrangements and methods for minimizing delay in high-speed taps |
JP5853465B2 (en) | 2011-07-27 | 2016-02-09 | 沖電気工業株式会社 | Network analysis system |
JP5782958B2 (en) * | 2011-09-26 | 2015-09-24 | 沖電気工業株式会社 | Information processing apparatus and program |
JP6228262B2 (en) * | 2016-06-03 | 2017-11-08 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Attack detection apparatus, attack detection method, and attack detection program |
US9998213B2 (en) | 2016-07-29 | 2018-06-12 | Keysight Technologies Singapore (Holdings) Pte. Ltd. | Network tap with battery-assisted and programmable failover |
CN115102884B (en) * | 2022-06-23 | 2023-07-21 | 青岛联众芯云科技有限公司 | Remote data flow statistics method and device for industrial personal computer application program |
-
2004
- 2004-11-22 JP JP2004337676A patent/JP3957712B2/en not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11816249B2 (en) | 2017-04-09 | 2023-11-14 | Privacy Rating Ltd. | System and method for dynamic management of private data |
US12013971B2 (en) | 2017-04-09 | 2024-06-18 | Privacy Rating Ltd. | System and method for dynamic management of private data |
Also Published As
Publication number | Publication date |
---|---|
JP2006148686A (en) | 2006-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3957712B2 (en) | Communication monitoring system | |
JP6703613B2 (en) | Anomaly detection in data stream | |
CN108289088B (en) | Abnormal flow detection system and method based on business model | |
US10164839B2 (en) | Log analysis system | |
US10104108B2 (en) | Log analysis system | |
US9130978B2 (en) | Systems and methods for detecting and preventing flooding attacks in a network environment | |
US9848004B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
JP2006279930A (en) | Method and device for detecting and blocking unauthorized access | |
JP5264470B2 (en) | Attack determination device and program | |
US7804787B2 (en) | Methods and apparatus for analyzing and management of application traffic on networks | |
US7672283B1 (en) | Detecting unauthorized wireless devices in a network | |
JP2018533897A5 (en) | ||
US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
US20070022468A1 (en) | Packet transmission equipment and packet transmission system | |
US20200195672A1 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
CN109361673B (en) | Network anomaly detection method based on flow data sample statistics and balance information entropy estimation | |
US20060262789A1 (en) | Method and corresponding device for packets classification | |
CN110417747B (en) | Method and device for detecting violent cracking behavior | |
CN112953971A (en) | Network security traffic intrusion detection method and system | |
JP2007208328A (en) | Method, system and apparatus for determining communication state | |
JP4985435B2 (en) | Monitoring and analyzing apparatus, method, and program | |
JP7045949B2 (en) | Information processing equipment, communication inspection method and program | |
US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
CN111865951A (en) | Network data flow abnormity detection method based on data packet feature extraction | |
WO2018157336A1 (en) | Data processing device and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070313 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070508 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070508 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 3957712 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100518 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110518 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120518 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130518 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140518 Year of fee payment: 7 |
|
LAPS | Cancellation because of no payment of annual fees |